不能与公司的VPN服务器建立远程访问VPN连接故障

作者: 王达 出处:电子工业出版社易飞思公司　 (  ) 砖  (  ) 好  评论 ( ) 条 　进入论坛

更新时间：2007-04-07 13:33
关 键 词：VPN  网络管理  故障排除  网管员必读——超级网管经验谈
阅读提示：《网管员必读——超级网管经验谈》以大量示例和大量实用网络管理与故障排除经验介绍了当前网络管理工作的各主要方面，是一本以示例形式直接面向应用的网络管理图书。本节主要是关于远程访问VPN连接实用经验和故障排除。

10.10.1  远程访问VPN连接实用经验和故障排除 
1．问：为什么我不能与公司的VPN服务器建立远程访问VPN连接？
答：出现这种故障的原因可能有很多，下面分别予以分析介绍。
（1）远程访问客户端使用的用户账户在公司VPN服务器网络中已被锁定、过期、禁用，或者进行连接的时间与配置的登录时间不对应。说到底就是不与对应的远程访问策略相适应。解决办法只能是修改相应用户账户的账户属性和远程访问策略，使它具有相应权限，而且符合使用需求。
（2）VPN服务器上没有启动路由和远程访问服务。
远程访问VPN需要Windows 2000 Server/Server 2003系统的“路由和远程访问”服务支持，如果没有开启这项服务器当然也就不能进行远程访问VPN通信了。解决办法是先验证公司VPN服务器上“路由和远程访问”服务的状态，没有启用的话重新启用，并配置VPN服务器。
（3）VPN服务器没有启用远程访问。
也有可能在VPN服务器上没有启用“远程访问”服务支持，参见图10-13，在这个对话框中没有选中“远程访问服务器”复选项，重新在VPN服务器的这个属性对话框中选择此复选项即可。
（4）入站远程访问请求没有启用PPTP或L2TP端口。
解决方案：为入站远程访问请求启用PPTP或L2TP端口，或者两者全部启用。方法是在如图10-22和图10-23所示对话框中选中“远程访问连接（仅入站）”复选项。
（5）VPN客户端正在使用的操作系统不允许VPN服务器远程访问。
有些系统并不支持远程访问VPN连接，如Windows 95以前的系统，而且Windows 95/98系统中只支持PPTP协议的远程访问VPN。还有些其他系统可能也不支持远程访问VPN，具体可从相应系统帮助说明中了解。
（6）VPN客户端正在使用的LAN协议不允许VPN服务器远程访问。
如果在公司的VPN服务器上没有启用相应的LAN协议，如Novell公司NetWare系统所用的IPX/SPX协议、APPLE系统所用的AppleTalk协议等，具体可在VPN服务器上的属性对话框中选项卡的类型得出。如果没有相应协议项的选项卡，则表明当前的VPN服务器不支持相应协议。Windows 2000 Server /Server 2003系统默认只支持IP协议的VPN通信（在VPN服务器属性对话框中有专门的“IP”选项卡）。要获得支持，必须先在VPN服务器上安装这些协议，然后再重新配置。
（7）所有在VPN服务器上的PPTP或L2TP端口已由当前连接的远程访问客户端或按需拨号路由器使用。
这种情况主要可能发生在一些大型的VPN网络中，或者当前VPN服务器上已配置的PPTP和L2TP端口数太少。在“路由和远程访问”主界面“端口”选项上单击右键，在弹出的快捷菜单中选择“属性”选项，在打开的如图10-21所示的对话框中查看已配置的PPTP和L2TP端口数，并验证VPN服务器上所有的PPTP或L2TP端口是否都已使用。如有必要，请在图10-22和图10-23所示对话框中更改PPTP或L2TP端口的数量以允许更多的并发连接。
（8）VPN服务器不支持VPN客户端隧道协议。在默认情况下，运行Windows XP或Windows Server 2003操作系统的远程访问VPN客户端使用“自动”服务器类型选项，这意味着它们首先会尝试建立基于PPTP的VPN连接，然后才尝试基于L2TP/IPSec的VPN连接。如果VPN客户端使用“点对点隧道协议（PPTP）”或“第二层隧道协议（L2TP）”服务器类型选项，请验证VPN服务器支持所选定的隧道协议。
在默认情况下，运行Windows Server 2003操作系统及“路由和远程访问”服务的计算机是具有5个L2TP端口和5个PPTP端口的PPTP和L2TP服务器。要仅创建PPTP服务器，请将L2TP端口数设置为0。要仅创建L2TP服务器，请将PPTP端口数设置为1，并禁用远程访问传入连接和请求拨号连接，参见图10-22。
各主流Windows系统所支持的VPN隧道协议如表10-2所示。

表10-2  主流Windows系统所支持的VPN隧道协议

（9）没有将使用远程访问策略连接的VPN客户端与VPN服务器配置为使用至少一种公用身份验证方法。
出现这种情况，只有将与远程访问策略有关的VPN客户端和VPN服务器配置为至少使用一种常用身份验证方法。各客户系统所支持的具体身份验证方法可参见表10-1所示。配置方法参见图10-17所示的对话框。
（10）没有将使用远程访问策略连接的VPN客户端与VPN服务器配置为至少使用一种常用加密方法。
出现这种情况，只有将与远程访问策略有关的VPN客户端和VPN服务器配置为至少使用一种常用加密方法。具体配置参见图10-53所示对话框。
（11）VPN连接没有通过用户账户和远程访问策略的拨入属性获得适当访问权限。
这是经常会出现的一种原因。通过用户账户和远程访问策略的拨入属性，验证VPN连接有恰当的权限。
要建立连接，则连接尝试的设置必须：
与至少一个远程访问策略的所有条件匹配。
通过用户账户（设置为“允许访问”），或者通过用户账户（设置为“通过远程访问策略控制访问”）和匹配远程访问策略（设置为“授予远程访问权限”）的远程访问权限来授予远程访问权限。
匹配配置文件的所有设置。
匹配用户账户的拨入属性的所有设置。
（12）远程访问策略配置文件设置与VPN服务器属性冲突。
远程访问策略配置文件的属性和VPN服务器的属性都包含以下有关设置：
多重链接。
带宽分配协议。
身份验证协议。
如果匹配远程访问策略的配置文件设置与VPN服务器的设置冲突，连接尝试将被拒绝。例如，如果匹配的远程访问策略配置文件指定必须使用EAP-TLS身份验证协议，而VPN服务器上的EAP不可用，则连接尝试将被拒绝。解决办法只有重新验证远程访问策略配置文件的设置与VPN服务器的属性不冲突。
（13）VPN客户端（用户名、密码及域名）的凭据不正确而不能由VPN服务器验证。
重新验证VPN客户端的凭据（用户名、密码和域名）正确，能够为VPN服务器确认。
（14）在静态IP地址池中没有足够的地址。
如果在VPN服务器配置了静态IP地址池（参见图10-14和图10-15两个对话框），请验证池中有足够的地址。如果静态池中的所有地址均已分配给连接的VPN客户端，则VPN服务器将无法分配IP地址，连接尝试将被拒绝。如有需要请修改静态IP地址池。
（15）VPN客户端配置为请求自己的IPX节点号，而VPN服务器并没有配置为允许IPX客户端请求自己的IPX节点号。
解决办法只有在VPN服务器上重新安装IPX/SPX协议，配置VPN服务器使其允许IPX客户申请自己的IPX节点号。
（16）使用IPX网络上别处使用的IPX网络号配置VPN服务器。
解决办法只有使用某个范围内的IPX网络号来配置VPN服务器，因为这些网络号对于你的IPX网络是惟一的。
（17）VPN服务器身份验证提供程序配置不正确。
验证身份验证提供程序的配置（参见图10-16所示的对话框）。可以将VPN服务器配置为使用Windows或RADIUS来验证VPN客户端的凭据。
（18）VPN服务器不能访问Active Directory。对于作为Windows 2000混合域或Windows 2000本机域（该域为Windows身份验证而配置）中的成员服务器的VPN服务器，请验证：
存在“RAS and IAS Servers”安全组。如果没有，请创建该组，并将该组类型设置为“安全”，组作用域设置为“本地域”。
“RAS and IAS Servers”安全组具有对“RAS and IAS Servers Access Check”对象的读取权限。
VPN服务器计算机的计算机账户是“RAS and IAS Servers”安全组的成员。可以用“netsh ras show registeredserver”命令来查看当前注册。可以用“netsh ras add registeredserver”命令在指定的域中注册服务器。
如果你将VPN服务器计算机添加至“RAS and IAS Servers”安全组（或从该组删除VPN服务器计算机），则所做的更改不会立即产生影响（因为Active Directory信息进行缓存的方式）。为了使更改立即生效，你需要重新启动VPN服务器计算机。
对于Windows 2000本机模式的域，VPN服务器已经加入到该域中了。
（19）Windows NT 4.0 VPN服务器无法验证连接请求。
如果VPN客户端正在拨入运行Windows NT 4.0系统，而且作为Windows 2000混合域成员的VPN服务器，请验证是否已用“net localgroup "Pre-Windows 2000 Compatible Access"”命令将“Everyone”组都添加到“兼容Windows 2000之前版本的访问”组。如果未添加，请在域控制器计算机的命令提示符下键入“net localgroup "Pre-Windows 2000 Compatible Access" everyone /add”，然后重新启动该域控制器计算机。
（20）VPN服务器不能与配置的RADIUS服务器通信。
如果RADIUS服务器只能通过Internet接口访问，请在Internet接口上为用于RADIUS身份验证的UDP端口1812（基于RFC2138，“Remote Authentication Dial-In User Service（RADIUS）”（远程身份验证拨入用户服务））或UDP端口1645（对于早期的RADIUS服务器），以及用于RADIUS记账的UDP端口1813（基于RFC2139，“RADIUS Accounting”（RADIUS记账））或UDP端口1646（对于早期的RADIUS服务器）添加输入筛选器和输出筛选器。
数据包筛选器的配置参见本章10.3.6小节的介绍。
（21）不能从Internet检验VPN服务器。
由于在VPN服务器的Internet接口上配置的PPTP和L2TP/IPSec数据包筛选，所以滤除了ping命令使用的“Internet控制消息协议（ICMP）”数据包。要启用VPN服务器上的ping功能，需要添加允许IP协议1（ICMP通信）的输入筛选器和输出筛选器。
具体也可以参见本章10.3.6小节的介绍。

回书目   上一节   下一节

滚动新闻　术语词典　问题悬赏

我也说两句